云安全服务体系篇1

关键词：云计算云安全

中图分类号：TN9文献标识码：A文章编号：1007-9416（2012）12-0153-01

1、云计算概述

什么是云计算呢？东莞市现代信息服务协会的周伟钊给出了一个简单通俗的解释。随着网络上的用户和服务器的增多，服务器系统越来越复杂，使得系统越来越不稳定，可能导致的后果是：其中一个服务器出问题，那么一个完整的系统就会崩溃。于是人们突然想到了一个好办法：把所有计算资源集结起来，看成是一个整体，或者称之为“一朵云”，将服务器不是简单地链接起来，而是缓存，这就是数据库。一个任务被服务器集群们一起达成，这就是云计算的雏形。由于云计算涉及个人和企业运算模式的改变，涉及个人和企业的敏感信息，因此云计算面临的第一个重要问题就是云计算的安全。我们对云计算的安全的关注程度，就像我们关注网上银行安全一样。

虽然云计算已经开始被运用到网络的各个领域，但云计算环境到底如何？是否会给用户安全带来危害？用户信息安全如何得到保证？云计算要有更好的发展，就必须解决以下四个层次的安全性问题：

2、云服务器自身的安全如何保障

在云中提供服务，就意味着开放，而开放往往就等于不安全。这就好比开放的公共场所不可能安全一样。对于云服务器自身的安全担忧主要来源于两方面：

一是在技术方面，按照Google的理念，如果云计算得以实现的话，那么未来人们在本地硬盘上几乎不保存数据，所有的数据都在“云”里，一旦发生由于技术方面的因素导致的服务中断，那么用户只能束手无策。前不久，由于提供云服务的亚马逊宕机，导致了Twitter等网站服务都中断了。值得我们思考的是，这种中断会不会造成历史数据都被毁灭，这涉及到用户对云安全的容忍程度。所以，未来的研究课题是如何保证云不被攻击，而且保证它能够始终提供服务。如何解决云服务器自身的安全问题？解决方案可能有容灾备份、为云设置监控系统等，这都是未来需要研究的问题。

二是云服务器公司的管理安全问题。“云”对外部来讲其实是不透明的。出于商业机密的安全考虑，云计算的服务提供商并没有对用户给出许多细节的具体说明，如其所在地、员工情况、所采用的技术以及运作方式等等。安全“三分靠技术，七分靠管理”，如何制定一套完备的公司员工实施方案来尽量避免管理带来的安全问题？

3、云如何保证用户安全

云中的用户程序的安全标准是不被分析，数据不被复制，从而保证商业秘密不被侵害，用户的数据不会被盗窃。用户需要的是一个可信的云，就是说保证云的可信是云得到广泛应用的重要前提。而在云模式下，用户可能并不知道如何考察云的可信性，因为人们不知道服务于具体用户的那部分云的物理位置，存在不确定性。另外即使云服务商的技术成熟，又如何知道用户信息不会被公司内部员工恶意泄露呢？而如果采用加密的方式，又会导致用户程序的运行效率很低。

4、如何实现信息安全传输

数据在网络传输到云中处理过程中需要得到保护，在传输过程中使用SSL，PPTP或VPN等不同的方式。

首先，云计算服务提供商最好是本国注册且数据中心、总部或资产在本国的大规模企业，具有长久的存续能力。只有这样，才能保证其能够尊重驻在国法律并受驻在国法律的监管，长久提供稳定、安全、可靠的服务。在发生事故后，由于其总部或资产在驻在国境内，因此赔偿或追讨可以顺利进行。在中国，这样的企业或组织包括大型IT服务商和开发商、电信运营商、银行、保险公司、各个高新技术园区、政府机构等。

其次，云计算服务提供商应该遵循相应应用的开放标准，尽量不采用私有标准。如果没有标准可以遵循，至少要提供数据导入导出框架以及数据转换机制，为数据迁移提供必要的保障和方便。

5、云安全如何实现

在当前的网络环境下，单独依靠一个终端去检查木马病毒，被认为越来越不可行，因此需要安全厂商通过建立云计算平台，承担恶意代码的检测工作，云安全系统可以预先扫描各个网页，以鉴别网页上是否挂有木马，是否含有恶意代码。因此，用户在访问一个网页时，如果通过云安全系统来访问，就立即知道所要访问的网站是否安全，所要访问的网页是否可以下载。

由此可见，云安全的优势是利用大计算能力将所有网页进行扫描，保护用户上网时不受恶意代码的侵害。但对终端用户而言，上网只是威胁来源之一，还有些威胁是来自邮件、U盘等，而用户不愿意把自己的所有隐私公开，因此基于这种模式的云安全系统并不能够包打天下。

此外，以云为核心的云安全体系也存在一些致命问题，这就是过分地依赖于传输信道。由于用户的资源和信息均交给云来处理，所以云就变成了集中安全站，所有资源和信息都要在云中转一圈，从而引发了传输通道的受限问题。因此，云服务提供商需要和宽带服务提供商密切配合，架构出适合云服务的宽带传输体系，这样云才能发挥出强大的后端力量。当然，值得推崇的做法是云安全体系与电信运营商相结合，由云安全体系来鉴别信息的有害与否，由电信运营商来通知用户访问相应的网站是否存在风险。

云安全服务体系篇2

【关键词】云计算；云安全；等级保护；虚拟化安全

1引言

自2006年云计算的概念产生以来，各类与云计算相关的服务纷纷涌现，随之而来的就是人们对云安全问题的关注。目前各个运营商、服务提供商以及安全厂商所提的云安全解决方案，大都根据自己企业对云平台安全的理解，结合本企业专长，专注于某一方面的安全。然而，对于用户来说云平台是一个整体，需要构建云平台的整体安全防护体系。

因此，针对云计算中心的安全需求建立信息安全防护体系已经是大势所趋，云安全防护体系的建立，必将使云计算得以更加健康、有序的发展。

2云计算的安全问题解析

云计算模式当前已得到业界普遍认同，成为信息技术领域新的发展方向。但是，随着云计算的大量应用，云环境的安全问题也日益突出。我们如果不能很好地解决相关的安全管理问题，云计算就会成为过眼“浮云”。在众多对云计算的讨论中，SafeNet的调查非常具有代表性：“对于云计算面临的安全问题，88.5%的企业对云计算安全担忧”。各种调研数据也表明：安全性是用户选择云计算的首要考虑因素。近年来，云安全的概念也有多种层面的解读，本文所指云安全是聚焦于云计算中心的安全问题及其安全防护体系。

2.1云安全与传统安全技术的关系

云计算引入了虚拟化技术，改变了服务方式，但并没有颠覆传统的安全模式。从这张对比视图中，如图1所示，可以看出，安全的层次划分是大体类似，在云计算环境下，由于虚拟化技术的引入，需要纳入虚拟化安全的防护措施。而在基础层面上，仍然可依靠成熟的传统安全技术来提供安全防护。

如图1所示，云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的，而云计算又有其特有的安全问题，主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上，我们可以把云安全看做传统安全的一个超集，或者换句话说，云安全是传统安全在云计算环境下的继承和发展。

综合前面的讨论，可以推导出一个基本的认识，云计算的模式是革命性的：虚拟化安全、数据安全和隐私保护是云安全的重点和难点，云安全将基于传统安全技术获得发展。

2.2云计算的安全需求与防护技术

解决安全问题的出发点是风险分析，CSA云安全联盟提出了所谓“七重罪”的云安全重点风险域。

Threat1：AbuseandNefariousUseofCloudComputing（云计算的滥用、恶用、拒绝服务攻击）；

Threat2：InsecureInterfacesandAPIs（不安全的接口和API）；

Threat3：MaliciousInsiders（恶意的内部员工）；

Threat4：SharedTechnologyIssues（共享技术产生的问题）；

Threat5：DataLossorLeakage（数据泄漏）；

Threat6：AccountorServiceHijacking（账号和服务劫持）；

Threat7：UnknownRiskProfile（未知的风险场景）。

信息的机密性、完整性和可用性被公认为信息安全的三个重要的基本属性，用户在使用云计算服务时也会从这三个方面提出基本的信息安全需求。

机密性安全需求：要求上传到云端的信息及其处理结果以及所要求的云计算服务具有排他性，只能被授权人访问或使用，不会被非法泄露。

完整性安全需求：要求与云计算相关的数据或服务是完备、有效、真实的，不会被非法操纵、破坏、篡改、伪造，并且不可否认或抵赖。

可用性安全需求：要求网络、数据和服务具有连续性、准时性，不会中断或延迟，以确保云计算服务在任何需要的时候能够为授权使用者正常使用。

根据云计算中心的安全需求，我们会相应得到一个安全防护技术的层次结构：底层是基础设施安全，包括基础平台安全、虚拟化安全和安全管理；中间是数据安全，上层是安全服务层面，还包括安全接入相关的防护技术。

3等级保护背景下的云安全体系

3.1等级保护标准与云安全

自1994年国务院147号令开始，信息安全等级保护体系历经近20年的发展，从政策法规、国家标准、到测评管理都建立了完备的体系，自2010年以来，在公安部的领导下，信息安全等级保护落地实施开展得如火如荼，信息安全等级保护已经成为我国信息化建设的重要安全指导方针。

图3表明了等级保护标准体系放发展历程。

尽管引入了虚拟化等新兴技术，运营模式也从出租机房进化到出租虚拟资源，乃至出租服务。但从其本质上看，云计算中心仍然是一类信息系统，需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。此外，云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。

因此，云计算中心防护体系应当是以等级保护为指导思想，从云计算中心的安全需求出发，从技术和管理两个层面全方位保护云计算中心的信息安全；全生命周期保证云计算中心的安全建设符合等保要求；将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求，做到等保成果的可视化，做到安全工作的持久化。

3.2云计算中心的安全框架

一个云计算中心的安全防护体系的构建，应以等级保护为系统指导思想，能够充分满足云计算中心的安全需求为目标。根据前面的研究，我们提出一个云计算中心的安全框架，包括传统安全技术、云安全技术和安全运维管理三个层面的安全防护。

云安全框架以云安全管理平台为中心，综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面，除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施，还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。

3.3云安全防护体系架构

在实际的云安全防护体系建设中，首先要在网络和主机等传统的安全设备层面建立基础信息系统安全防护系统。基础信息安全防护体系是以等级保护标准为指导进行构建，符合等级保护标准对相应安全级别的基本安全要求。

在此基础上，通过SOC安全集中管理系统、虚拟安全组件、SMC安全运维管理系统和等保合规管理系统四个安全子系统共同组成云安全管理中心，如图4所示。通过实体的安全技术和虚拟化安全防护技术的协同工作，为云计算中心提供从实体设备到虚拟化系统的全面深度安全防护，同时通过专业的SLC等保合规管理系统来确保云安全体系对于等级保护标准的合规性。

参考文献

[1]郝斐，王雷，荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全，2012，（03）：38-41.

[2]季一木，康家邦，潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全，2012，（06）：6-8.

[3]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全，2012，（07）：3-5.

[4]胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全，2012，（07）：87-89.

[5]王伟，高能，江丽娜.云计算安全需求分析研究[J].信息网络安全，2012，（08）：75-78.

[6]海然.云计算风险分析[J].信息网络安全，2012，（08）：94-96.

[7]孙志丹，邹哲峰，刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全，2012，（12）：50-52.

[8]甘宏，潘丹.虚拟化系统安全的研究与分析[J].信息网络安全，2012，（05）：43-45.

[9]赛迪研究院.关于云计算安全的分析与建议[J].软件与信息服务研究，2011，5（5）：3.

[10]陈丹伟，黄秀丽，任勋益.云计算及安全分析[J].计算机技术与发展，2010，20（2）：99.102.

[11]冯登国，孙悦，张阳.信息安全体系结构[M].清华大学出版社，2008：43-81.

[12]张水平，李纪真.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计，2011，12（32）：3965.

[13]质监局，国标委.信息系统安全等级保护基本要求.GB/T22239—2008：1～51.

[14]王崇.以“等保”为核心的信息安全管理工作平台设计[J].实践探究，2009，1（5）：73.

[15]DevkiGauravPal，RaviKrishna.ANovelOpenSecurityFrameworkforCloudComputing.InternationalJournalofCloudComputingandServicesScience（IJ-CLOSER），2012，l.1（2）：45～52.

[16]CSA.SECURITYGUIDANCEFORCRITICALAREASOFFOCUSINCLOUDCOMPUTINGV3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者简介：

白秀杰（1973-），男，硕士，系统分析师；研究方向：云安全技术。

李汝鑫（1983-），男，本科，项目管理师；研究方向：信息安全技术。

云安全服务体系篇3

[关键词]云计算；机密性；数据完整性；身份认证；可靠性；可移植性；合规性；可追责性；体系结构

[中图分类号]TP309[文献标识码]A[文章编号]1672-5158（2013）05-0001-02

1引言

云计算具有快速伸缩（Rapidelasticity）、按需自助服务（On-demandself-service）、无所不在的网络访问（Broadnetworkaccess）、资源池（Resourcepooling）、服务可度量（Measuredservice）等独特优势，对于企业用户而言可显著降低计算和存储的维护成本；对个人用户而言通过将信息的存储和计算放在云端，降低了自身存储和计算资源有限所带来的很多约束。云计算提供商以自己强大的经济和技术实力，在法律法规的约束下保障云计算的高度可靠性。云计算高速发展，但安全问题却日益突出。据有关调查，70%以上受访企业认为近期不采用云计算的首要原因在于存在数据安全性与隐私n生的忧虑。文章对云计算安全面临的挑战进行研究，对安全需求进行深入探讨，最后提出云计算的安全体系结构。

2挑战与风险

云计算是信息技术领域发生的重大变革，这种变革为信息安全领域带来了巨大挑战：（1）在云平台中运行的各类云应用没有固定不变的基础设施，没有固定不变的安全边界，难以实现用户数据安全与隐私保护；（2）云服务所涉及的资源由多个管理者所有，存在利益冲突，无法统一规划部署安全防护措施；（3）云平台中数据与计算高度集中，安全措施必须满足海量信息处理的需求。

云安全联盟与惠普公司共同在对29加企业、技术供应商和咨询公司的调查结果进行研究分析后，共同列出了云计算面临的数据丢失/遗漏、共享技术漏洞、供应商可靠n生不易评估、身份认证机制薄弱、不安全的应用程序接口、不正确的使用、对供应商的未知安全的安全七宗罪。国际著名IT咨询研究机构Gartner早在2008年就在文中描述了云计算存在的7大安全风险；ENISA（欧洲网络与信息安全局）在其的《云计算安全风险评估》中也提到了云计算安全所面临的7大关键性问题；

3云计算的安全需求

3.1可靠性

云计算通过整合分散的、甚至是闲置的资源来提供服务，这种分散的、闲置的资源可能不是稳定“在线”的，所以，要求云计算系统要具有较强的数据容错和单个计算节点故障恢复措施来保障服务的高可用可靠性。云计算是以互联网为基础的，而互连网是脆弱和不可靠的。系统的高可靠性是云计算系统设计时的基本要求。Goog～电子邮件服务中断、微软云计算平台windowsAzure运作中断、亚马逊的“简单存储服务”（simpleStorageService，s3）中断等问题都可归结为是由于云计算系统可靠性设计的不足而发生的。除了对设备、资源云系统可靠性考虑外，对可靠性需求的另外一个方面是提供商在选用员工时对员工背景的调查，选用可靠的员工。

3.2保密性

用户数据和应用程序都在第三方云提供商提供的基础平台中运行，云服务提供商可能随意处置用户的数据与代码，容易造成用户数据的泄露和丢失；服务提供商还可以通过数据挖掘及推理分析等技术发现用户的使用习惯，用户与其他用户之间存在的交易关系等私密信息，造成用户隐私泄露；在云端，应用程序要对处于加密状态的数据进行处理，应用程序需要首先解密数据，然后再完成运算，但是加密的方式又带来了运算上的开销，提高性能要求需要服务器能够在密文上面直接进行操作。在最理想的情况下，服务器在密文上的任何操作都能够直接对应到明文上的相应操作，这种加密方法称为完全同态加密。在完全同态加密不能高效实现的情况下，利用同态函数的特性保护隐私，研究基于密文的操作是云计算实现保密性的一个很重要的需求。

3.3数据完整性

完整性指系统内信息在存储或传输过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等以造成破环和丢失的特性。云计算安全完整性需求主要包括云用户存储在云中的静态数据的存储，在存取过程中需要完成的完整性检测要求，以及应用程序在处理数据时，在从存储介质中存取数据，在对数据流中数据包的完整性检测校验。

3.4服务有效性

在云计算中，可能由于各种原因导致的用户在需要时不能得到云服务商提供的及时有效服务。如云虚拟机因漏洞或系统更新等而导致的进程崩溃、宕机；攻击者破坏了用户应用程序的完整性使得用户程序部分或全部不能正常运行；由于虚拟机控制权丢失而致使用户失去对主机/月艮务器的控制和使用权，云内部或用户接人端受到黑客攻击导致大面积的DDoS/DoS；如此等等，这些都要求云服务提供商要预备各种应急灾备措施和设备保障，对数据，平时要为用户做好灾备考虑，要有足够的实力，为用户提供可供选择的备用带宽、存储及计算资源。

3.5可控性

计算机既是解放的技术，又是控制的技术。云计算就犹如一台更加庞大的和“泛在”的超级计算机，所以，在云计算中的控制也显得更为重要，云计算改变了互联网时代依靠防火墙在物理上保护一个“安全域”的安全防护的模式已不存在，对每个云用户的应用程序进程、数据隐私的访问及控制依赖用户的身份，所以，要实现云计算的控制，首先做好用户的身份管理，身份管理主要涉及身份的供应、注销以及身份认证过程。在云环境下，实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务。其次，云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型（女口基于角色的访问控制、基于属性的访问控制模型以及强制/自主访问控制模型等）和各种授权策略语言标准（如XACML，SAML等）扩展后移植入云环境。此外，鉴于云中各企业组织提供的资源服务兼容性和可组台性的日益提高，组合授权问题也是云访问控制服务安全框架需要考虑的重要问题。

3.6虚拟安全

虚拟化是云计算的重大技术特征。虚拟安全包括虚拟环境下，虚拟主机、虚拟通道、虚拟网络连接设备的安全。虚拟安全主要包括虚拟机自身安全、虚拟机之间的安全、Hypervisor与虚拟机之间的安全、虚拟机镜像安全、虚拟环境中的权限控制与认证安全、虚拟机迁移安全、桌面虚拟化安全等。云计算多个虚拟设备（主机或网络互连构件）可能会别绑定到相同的物理资源上，可能导致信息泄露或数据的覆盖。要防lkhypervisor被入侵从而控制虚拟机资源；虚拟机和Hypervisor通信时，要防止可能包含敏感信息如特权账号的用户名和口令被嗅探窃取；要防止应用程序绕过底层，利用宿主机进行某些攻击或破坏活动。

3.7可移植性（portability）

数据“锁入”（LOCKIN）是指在云计算中当一个云计算服务提供商因种种原因不能够为用户提供服务，用户需要将其数据信息以及应用从一个云服务提供商迁移到另外的云服务提供商提供的云平台上进行存储、部署时，不同云平台间没有统一标准的配置、运行环境接口，而使云用户遭受损失。可移植性是指将数据或应用程序从一个提供商搬移到另一个提供商，或将它全部搬移到本地的能力。目前还不能提供统一的工具、规程、标准数据格式或服务接口来保证数据、应用程序和服务的可移植性；原数据、数据的备份和日志、访问记录的冗余拷贝，以及其他任何可能因法律或合规性原因而导致的信息、数据能否被完整迁移。

3.8合规性

不同的国家对信息系统建设、管理的相关规定、立法不同，许多国家或地区都有严格的隐私法，禁止将某些数据存储在本国或本地区外的物理机器上，对违反这些法律的机构通常将进行严厉处罚。云服务提供商要对用户数据的存储及应用的、运行范围进行审查或限定，以满足法律法规、处罚条例以及其他的法案的要求。同时，云计算大大提升了计算的效率和能力，也给非法行为带来了便利，如利用云计算资源破译口令和系统密码；云平台对资源的动态伸缩性管理和资源共享模式意味着云服务平台拥有庞大的网络资源、计算资源和用户身份资源，如果这些资源被黑客或内部人员非法利用，用于组织类似DDoS、僵尸木马类的大规模攻击。所以，云计算在使用用途上，也必须严格审定其使用的正当合法性。

3.9可追责性

在云计算中，数据和应用程序属于用户，然而，数据的存储和应用程序的运行场所并不属其所有者用户所管辖和控制的区域，但是当出现数据的保密性、完整性、有效性遭遇破坏或用户隐私遭受到不法侵害，违反云用户与云提供商事先的服务等级约定或其他法律法规时，在用户和云计算提供商之间可进行相应的责任追查。在云计算这种新的电子空间环境下，这种可追责性需要一定的环境保障，这种环境保障主要表现在有法可依、可电子取证、可审计三个方面。

3.10终端安全

云平台中数据与计算高度集中，用户接人呈现时间，地点的不确定性和访问终端类型多样化的特点，终端是攻击的起源和人口，所以，云计算要为云用户所安全利用，就必须包括终端安全，终端安全需求具体包括接口适配需求、身份安全和终端运行环境安全需求等。

4安全体系总体结构

依照以上云计算安全需求，参考云计算定义，本章提出了面向架构的云计算安全服务模型，在此基础上，又给出了云计算安全体系。

3.1面向架构的云计算安全模型

图1是云计算安全参考模型。可以看出，云计算安全模型是一种多层次的安全保障体系，安全服务是多方位和多层次的，我们把该模型作为云计算安全技术体系设计的基础。

3.2面向服务的云计算安全体系

根据云计算安全参考模型设计的云计算安全体系结构如图2。

（1）基础设施安全服务

基础设施安全服务为上层云应用提供安全的数据存储、计算等资源服务，保护业务连续性和数据的隐私性是其主要安全目标。基础设施层面主要考虑的安全要素包括：物理安全物理防护、网络可靠、备用设施等；存储安全一存储加密和完整性，数据备份、灾难恢复等；虚拟化安全Hypervisor加固、镜像加密、虚拟机隔离等；系统安全――则应涵盖虚拟机的管理和安全；网络安全――FW/IPS/IDS、拒绝服务攻击、程序漏洞、网络监控等。

（2）基础平台安全服务

基础平台云安全服务是支撑云应用、满足用户安全目标的重要手段，其中比较典型的几类安全服务包括：云用户身份管理服务，主要涉及用户身份认证、管理，还包括云环境下的身份联合管理、单点登录等问题；云授权服务，研究适合云环境中的访问控制模型和授权策略，提高各企业，组织资源管理的可靠性、兼容性和扩展性；云审计服务，满足用户安全管理与审计的需要，可信地提供包括操作系统，数据库管理系统和网路设备等重要资源的日志和记录；云密码服务，除提供最典型的加、解密服务外，云密码服务还包括秘钥管理与分发，证书管理等安全服务。

（3）应用安全服务

云安全应用服务是根据用户的需求，提供信息安全服务和应用安全服务。信息安全服务包括内容过滤与杀毒应用、内容安全云服务，应用安全服务包括DDOS攻击防护云服务、安全事件监控与预警云服务、接人安全、终端安全等服务。

（4）云计算安全管理服务

云提供商需要提供透明的安全管理服务，建立信任度。云计算在很大程度上取决于它的许多组件的安全，包括通用的计算组件，如部署的应用程序、虚拟机监视器、客户虚拟机、数据存储和次要的中间件之外，也包括了一些管理功能组件，如用于自行配置资源、资源计量、限额管理、数据备份和恢复等管理组件。因此，对一个安全的云计算解决方案的操作和维护，强大的管理措施是必不可少的。对用于建立和维护信息系统资源的保密性、完整性、可用性的安全策略的管理、对主机和网络的配置及关键文件的管理和监控、对系统中有关安全的所有活动的记录和审查、防止恶意用户攻击的漏洞和补丁管理等管理措施都是必不可少的。

（5）云计算安全基础设施服务

为了弥补网络控制的丢失以及加强风险保障，云提供商将提供安全基础设施服务。主要包括证书、密钥的管理、身份管理、访问控制管理等。

5结束语

云计算这一信息技术的新模式，目前已经在广泛应用，但还没有进入到关键应用的实质性大规模运用阶段，究其原因，正在于它的安全性问题。目前工业界云计算产品已经使用的安全策略只能针对现有的安全攻击技术进行保护，而对云计算中新产生的安全问题还能没有更多考虑。我们对云安全的需求做以总结和归纳，提出云计算安全的总体结构，旨在为云计算安全方面的研究做一个好的铺垫和帮助。云计算作为一个新兴的产业发展非常迅速，我们期待着其中的安全问题能够早日被完善解决并在实际产品中得以应用。

参考文献

[1]NIST.TheNISTDefinitionofCloudComputing.SpecialPublication800-145.2011

[2]刘鹏.云计算（第二版）.北京：电子工业出版社，2011

云安全服务体系篇4

云计算服务模式产生了一些新的安全风险，如：用户失去了对物理资源的直接控制，虚拟化环境下产生了虚拟化安全漏洞，多租户的安全隔离、服务专业化引发的多层转包带来的安全问题等。如何实现云安全，已经成为安全产业面临的巨大挑战。

保卫云的安全，需要基于“云”的手段，这可以从两个维度来理解，一个是用安全手段保护云计算环境，确保云计算下网络设施和信息的安全；另一个是采用云计算的架构模式，构建安全防护设施的云环境，以云的方式为企业提供安全保护。

云安全需要一些新的关键技术来保障，如：虚拟化安全，包括虚拟机安全、虚拟化环境下的通信安全等；数据安全和隐私保护技术，包括密文的检索和处理，满足云环境下的数据隐私、身份隐私和属私的保护等；安全云（安全即服务），包括安全系统的云化、安全系统的资源调度和接口互操作性的标准化；可信云计算。

在一次“云计算”项目调研中，信息安全专家卿斯汉发现，目前，我国的云计算项目对常规安全措施做得比较到位，但仍需加强，除需要无缝集成传统网络安全和系统安全的防护工具外，还需要考虑虚拟机安全、隐私性保护及不间断服务等。云计算的核心是虚拟化，保证虚拟机的安全至关重要。

在云计算时代，数据中心的安全建设可以划分为三个阶段：第一阶段，传统安全产品的虚拟化，即：让传统安全产品“跑”在虚拟化设备上，支持虚拟设备功能；第二阶段，融合到云计算平台的虚拟机安全设备，即：安全设备作为一个安全应用被融合在虚拟化平台上；第三阶段，自主安全可控的云计算平台，即：考虑云计算平台自身的安全性。目前，由于云计算应用本身处于基础阶段，革命性的安全技术也未出现，云安全建设多数仍处在第一阶段。不过，云计算应用已经为传统安全产业带来了新的驱动力，并加速了安全技术的融合，安全企业之间的合作也变得越来越紧密。

在云计算的道路上鲜有独行者，云安全生态链同样需要安全企业共同打造和完善。目前，虚拟化领军企业VMware公司就已经跟许多知名的安全企业开展了深度合作，如：CheckPoint、McAffee、RSA、赛门铁克等，通过对安全企业提供API，开发基于虚拟平台的安全产品，共同构建基于云的安全架构体系。而在国内，也很少有一家安全企业独立地把所有安全技术都做得很精，这样一来，多家公司合作，共同提供云安全所需的各种产品和服务，将成为未来的最佳模式。

作为目前全球市场占有率领先的云端安全防护提供商，趋势科技早在六年前就投入大量资金和人力研究虚拟化及云计算安全解决方案。而作为云安全联盟（CSA）成员单位，绿盟公司正在安全智能领域积极进行着前沿的研究与探索实践，启明星辰公司2010年开始在云计算安全领域展开关键技术的研究，并成功申报承担了电子发展基金“云计算关键支撑软件（平台安全软件）研发与产业化”等一系列国家研究项目。在云计算环境下的身份管理中，众人网络走出了一条新路，其方案在工业和信息化部软件与集成电路促进中心（CSIP）联合企业开展的“基于安全可控软硬件产品云计算解决方案”推介工作中，被推选为示范项目。将内容检测和网络安全技术相结合，提供专为安全服务的安全云，成为被安全企业看好新趋势，这也是一些安全企业新的努力方向，以高性能扫描和深度内容检测技术见长的稳捷网络就是如此。

将设备和资源纳入云身份管理

云计算改变了传统安全产业的服务模式，也给安全产业提出了新的挑战。其中，虚拟化安全、数据安全和隐私保护成为云计算应用安全防护的重点和难点。在云计算环境下，多租户模式让身份管理变得更为重要，也更加复杂。要实现云安全，身份管理是基础，因为当所有资源都虚拟化了，就必须对其进行标识，以便于对虚拟化的资源进行管理，明确这些资源的使用权限。

与传统的身份管理不同，在云计算环境下，身份管理的应用范围进一步扩大。在传统安全环境下，身份管理的应用范围有所局限，如：国内现有的30多家CA目前的服务对象主要集中在税务、工商、电子商务等领域。未来，一旦公有云全面建成，一个庞大的云身份体系将会出现，到那时，身份管理将真正形成一种服务，而非技术本身。现在，说到运营CA，更多是基于PKI体系的，其实身份服务还有另外一些不同的技术，如：动态密码体系、IBE体系。在云中，云身份服务可能基于多种技术体系，为云计算服务平台服务。

另外，传统的身份管理服务，更多的是针对人本身进行。而在云中，身份服务更多是针对人、设备和资源进行。上海众人网络安全技术股份有限任公司执行总裁何长龙认为，在云体系中，身份管理的技术架构也将改变，因为传统身份管理针对的互联网用户是有限的，但在云体系中，身份管理针对的数据量却是无限的。

目前，对于云计算环境下的身份认证服务，多数还是基于传统的方法，是原有产品的直接嫁接，即在进行身份管理之前，对现有资源并没有进行虚拟化，这样做无法对资源进行认证、标识和许可，只限于对人或设备进行认证。

与其他同类企业将原有技术直接嫁接到云端不同，众人网络科技公司已经基于私有云，形成了自己的云身份服务平台。众人网络提供的云身份服务是在用户对资源做了虚拟化的基础上进行。

云架构体系对安全企业的技术能力、服务能力提出了更高要求，对身份架构体系的要求也是如此。只有对资源进行了虚拟化，才能得以对其进行定义，由此将其与云身份进行对接。

目前，众人网络在资源虚拟化基础上进行的身份管理已经有了实际应用的案例。众人网络为一家通信类客户架构了一个总部级的身份服务体系，在该用户将现有的硬件资产和软件资源进行统一虚拟架构后，众人科技对其所有资源进行了标识许可，由此实现了对虚拟化的资源进行认证、许可和分配。

融合检测和网络技术，打造安全云

云计算环境正变得越来越开放，云数据和云应用也越来越多，这给传统的网络安全防护带来新的挑战。以防火墙为主的“看门式”安全管理将难以保证云的安全，云计算安全需要建立一个全新的安全管理模式。

与传统的企业网相比，云中心的网络流量变得极其庞大，如果再将安全防护寄望于传统网关设备将不可想象。目前，在云中心，最常用的措施是采用虚拟防火墙、虚拟杀毒软件或虚拟安全网关，这是对传统安全产品的虚拟化，但并没有对云中心进行虚拟化，只是让安全软件跑在一个一个服务器上，它会消耗大量服务器内存，这依然是基于主机的解决方案。在云中心，往往有成千上万个主机，如果给每个主机都装上杀毒软件，维护成本将会很高。因此，这种云中心防护手段不是十分理想。

另外一种云安全方案中，安全设备并没装在主机上，只是将扫描工作放在云中进行，病毒库也是存放在云中，如：360公司的云安全方案就是这样。这种方案将云计算技术应用于安全，但这种方案保护的是云的使用者，并不保护云中心本身。

有没有一种新的手段，对云中心进行更加有效的保护？一些安全企业正在为此而努力。以高性能扫描和深度内容检测技术见长的稳捷网络公司就在进行相关的尝试。

在传统思维下，网络安全厂商一般只负责网络协议、端口有无入侵等，而不去检测内容；而负责内容的杀毒软件厂商也很少想到去网络上做。稳捷网络从创办之初就定位于做基于网络的深度内容检测，把查杀病毒和网络安全两种技术相结合，在网络端对内容进行清洗检测。

稳捷网络公司中国区总经理彭朝晖向《中国计算机报》记者表示，未来，有一种趋势将被看好，那就是：将内容检测和网络安全技术相结合，提供专为安全服务的安全云。

另外，云安全数据中心凭借庞大的网络服务、实时的数据采集、分析及处理能力得到众多厂商青睐。随着卡巴斯基、瑞星、趋势、金山等一批安全厂商逐渐加快云安全数据中心建设，云安全数据中心已经投入到实际应用中。其中，趋势科技已在全球部署5个云安全数据中心。

图解云安全技术和模式

云安全带来了很多新的技术，也带来很多新的课题，如：风险管理与兼容性问题、身份认证与访问管理问题、服务与终端的完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等。围绕这些新课题，传统安全企业及其从业者展开了深入的研究。以下我们选取了部分与云安全相关的关键技术方案和模式图，分别涉及云计算环境下的数据防泄漏方案、虚拟化对于安全功能的拆解、下一代安全的关键能力，这些技术方案或研究成果分别来自RSA公司、启明星辰公司和绿盟公司。这些安全企业所关注的技术焦点也在一定程度上反映了他们在云安全道路上努力的方向。

数据安全是云安全的重中之重。数据防护领域的知名安全企业RSA公司的虚拟化专家MikeFoley认为，在实体环境中，DLP（数据防泄漏）是在操作系统中完成的，一旦操作系统受到威胁，就无法使用DLP的软件和功能。而在虚拟化环境中，相应的数据都储存在虚拟机里，数据防泄漏工作可以通过扫描虚拟机来进行。在这个过程中，需要有一个专门负责安全的虚拟机。

云安全服务体系篇5

关键词：云计算；云安全；信息安全；等级保护测评；局限性

中图分类号：TP309文献标志码：A文章编号：1006-8228（2016）11-35-03

Discussiononthetestingandevaluatingofcloudcomputingsecuritylevelprotection

LiuXiaoli，ShenXiaohui

（ZhejiangProvincialTestingInstituteofElectronic&InformationProducts，Hangzhou，Zhejiang310007，China）

Abstract：CloudcomputinghasrecentlyattractedextensiveattentionsinceInternethasaccessedWeb2.0withmorefreedomandflexibility.However，thecloudsecurityhasbecomethebiggestchallengeforcloudpromotion.Combinedwiththeproblemsoftheactualtestingandevaluationincloudcomputingsecurity，thelimitationsoftheapplicationofthecurrentinformationsecuritylevelprotectionevaluationstandardtothecloudenvironmentareanalyzed，andthecontentsthatcloudsecurityshouldfocusonareproposed.

Keywords：cloudcomputing；cloudsecurity；informationsecurity；testingandevaluationofsecuritylevelprotection；limitations

0引言

近年来，随着网络进入更加自由和灵活的Web2.0时代，云计算的概念风起云涌。美国国家标准与技术研究院（NIST）定义云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划地促进政府部门信息系统向云计算平台迁移。但是也应该看到，政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了挑战。美国作为云计算服务应用的倡导者，一方面推出“云优先战略”，要求大量联邦政府信息系统迁移到“云端”，另一方面为确保安全，要求为联邦政府提供的云计算服务必须通过安全审查[1]。我国也先后出台了一系列云计算服务安全的国家标准，如GB/T31167-2014《信息安全技术云计算服务安全指南》、GB/T31168-2014《信息安全技术云计算服务安全能力要求》等。本文关注的是云计算安全，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等[2]。

当前，等级保护测评的依据主要有GB/T22239-

2008《信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》和GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》等。然而，这些标准应用于传统计算模式下的信息系统安全测评具有普适性，对于采用云计算服务模式下的信息系统却有一定的局限性。

本文结合实际云计算服务安全测评中的问题，首先讨论现行信息安全等级保护测评标准应用到云环境的一些局限性，其次对于云计算安全特别需要关注的测评项进行分析。

1云计算安全

正如一件新鲜事物在带给我们好处的同时，也会带来问题一样，云计算的推广也遇到了诸多困难，其中安全问题已成为阻碍云计算推广的最大障碍。

云计算安全面临着七大风险，主要包括客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等。文献[3]提出了云计算安全测评框架，与传统信息系统安全测评相比，云计算安全测评应重点关注虚拟化安全、数据安全和应用安全等层面。

虚拟化作为云计算最重要的技术，其安全性直接关系到云环境的安全。虚拟化安全涉及虚拟化软件安全和虚拟化服务器安全，其中虚拟化服务器安全包括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。云计算的虚拟化安全问题主要集中在VMHopping（一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机）、VMEscape（VMEscape攻击获得Hypervisor的访问权限，从而对其他虚拟机进行攻击）/远程管理缺陷（Hypervisor通常由管理平台来为管理员管理虚拟机，而这些控制台可能会引起一些新的缺陷）、迁移攻击（可以将虚拟机从一台主机移动到另一台，也可以通过网络或USB复制虚拟机）等[4]。

数据实际存储位置往往不受客户控制，且数据存放在云平台上，数据的所有权难以界定，多租户共享计算资源，可能导致客户数据被授权访问、篡改等。另外当客户退出云服务时，客户数据是否被完全删除等是云计算模式下数据安全面临的主要问题。

在云计算中对于应用安全，特别需要注意的是Web应用的安全。云计算应用安全主要包括云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等[3]。

2云计算下等级保护测评的局限性

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。与之对应的是涉及国家秘密的信息系统安全测评，就是通常所说的分级保护测评。

信息系统安全等级保护的基本要求包括技术要求和管理要求两大类。其中技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个层面；管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个层面。

传统的安全已不足以保护现代云计算工作负载。换言之，将现行的等级保护相关标准生搬硬套到云计算模式存在局限性，具体体现在以下方面。

⑴物理安全

传统模式的信息系统数据中心或者在本单位，或者托管在第三方机构，用户可以掌握自身数据和副本存储在设备和数据中心的具置。然而，由于云服务商的数据中心可能分布在不同的地区，甚至不同的国家，GB/T31167-2014明确了存储、处理客户数据的数据中心和云计算基础设施不得设在境外。

⑵网络安全

网络安全主要包括结构安全、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、网络设备防护等测评项。网络边界是网络信息安全的第一道防线，因此在网络边界采取安全防护措施就显得尤为重要。但在云计算模式下，多个系统同时运行在同一个物理机上，突破了传统的网络边界。由此可见，网络边界的界定、安全域的划分成为了云计算模式下网络边界安全面临的新挑战[5]。

⑶主机安全

主机安全主要包括身份鉴别、访问控制、安全审计等测评项。但在云计算模式下，虚拟化技术能够实现在一台物理机上运行多台虚拟机。尽管虚拟机之间具有良好的隔离性，但在云计算平台，尤其是私有云和社区云中，虚拟机之间通常需要进行交互和通信，正是这种交互为攻击和恶意软件的传播提供了可能。因此，虚拟机之间的安全隔离、用户权限划分、数据残留、跨虚拟机的非授权访问是云计算环境下虚拟机安全需要重点关注的内容。

⑷应用安全

应用系统作为承载数据的主要载体，其安全性直接关系到信息系统的整体安全，因此对整个系统的安全保密性至关重要。然而，当前绝大多数单位的应用系统在设计开发过程中，仅仅考虑到应用需求、系统的性能及技术路线的选择等问题，缺少了应用系统自身的安全性。客户的应用托管在云计算平台，面临着安全与隐私双重风险，主要包括多租户环境下来自云计算服务商和其他用户的未授权访问、隐私保护、内容安全管理、用户认证和身份管理问题[6]。

⑸数据安全及备份恢复

在云计算模式下，客户的数据和业务迁移至云服务商的云平台中，数据的处理、存储均在“云端”完成，用户一端只具有较少的计算处理能力，数据的安全性依赖于云平台的安全。如何确保数据远程传输安全、数据集中存储安全以及多租户之间的数据隔离是云计算环境下迫切需要解决的问题。

3云安全之等级保护测评

参照等级保护测评的要求，结合上述分析，云安全之等级保护测评应重点关注以下方面。

⑴数据中心物理与环境安全：用于业务运行和数据处理及存储的物理设备是否位于中国境内，从而避免产生司法管辖权的问题。

⑵虚拟网络安全边界访问控制：是否在虚拟网络边界部署访问控制设备，设置有效的访问控制规则，从而控制虚机间的互访。

⑶远程访问监控：是否能实时监视云服务远程连接，并在发现未授权访问时，及时采取恰当的防护措施。

⑷网络边界安全：是否采取了网络边界安全防护措施，如在整个云计算网络的边界部署安全防护设备等。

⑸虚拟机安全：虚拟机之间的是否安全隔离，当租户退出云服务时是否有数据残留，是否存在跨虚拟机的非授权访问等。

⑹接口安全：是否采取有效措施确保云计算服务对外接口的安全性。

⑺数据安全：多租户间的数据是否安全隔离，远程传输时是否有措施确保数据的完整性和保密性，租户业务或数据进行迁移时是否具有可移植性和互操作性。

4结束语

云计算因其高效化、集约化和节约化的特点，受到越来越多党政机关、企事业单位的青睐，与此同时云计算带来的风险也是不容忽视的。本文结合云计算的特点分析了云计算模式下现行等级保护测评标准的一些局限性，并提出了云计算下等级保护测评需要特别关注的测评项，对云服务商、租户和测评机构提供借鉴。值得注意的是，租户在进行云迁移之前，首先应确定自身迁移业务的等级，其次是租用的云计算平台等级不能低于业务系统的等级。

参考文献（References）：

[1]尹丽波.美国云计算服务安全审查值得借鉴.中国日报网.

[2]陈军，薄明霞，王渭清.云安全研究进展及技术解决方案发展

趋势[J].技术广角，2011：50-54

[3]潘小明，张向阳，沈锡镛，严丹.云计算信息安全测评框架研究[J].

计算机时代，2013.10：22-25

[4]房晶，吴昊，白松林.云计算的虚拟化安全问题[J].电信科学，

2012.28（4）：135-140

[5]陈文捷，蔡立志.云环境中网络边界安全的等级保护研究[C].

第二届全国信息安全等级保护技术大会会议论文集，2013.

云安全服务体系篇6

关键词云计算；信息；安全风险；法规

中图分类号：TP3文献标识码：A文章编号：1671-7597（2014）10-0160-02

对于大多数互联网用户来说，“云计算”的认知可以说并不陌生。如果说个人计算机变革的出现是IT界革命的里程碑式的起点，那么互联网的出现则被人们肯定为第二技术革命。然而，“云计算”的出现给IT界带来第三次革命性的技术变革，也给整个社会带来前所未有的冲击，尤其是信息的相关产业表现更为明显。正如现实生活中我们所见到的，互联网的应用在我国已经进行快行化时期，对互联网的依赖可以说贯穿于社会中各个行业。“云计算”作为21世纪的新兴信息技术，各类行业已经关注并且尝试“云计算”的应用，并且，获得巨大的经济效应和社会效应，然而，在“云计算”模式下信息安全问题也成为困扰着“云计算”健康发展的重要因素。如何来看待云计算现象中的信息安全问题以及如何应对云计算应用过程中所带来的一系列的问题，尤其是云计算模式下的信息安全问题。

1云计算模式下安全管控的社会因素解析

信息科技给社会带来的影响一直是持续的，并且与社会的需求紧密相关的。从某种意义上来说，信息科技影响着或者说左右着社会的发展，进而改变着人们的生活方式与思维观念。信息技术所体现的特征常常是因社会个体需求，但是，这种特征也同时满足大多数个体的需求，才能获得更大程度的发展。云计算则可以说信息技术革命重要产物，可以说使人类进入信息技术的新时代。

众所周知，云计算的运行模式分为公共云、私有云、社区云与混和云四种。从应用形式来看，云计算的个性化服务的满足表现更为突出，通过私有云的运行，借助云服务商所提供的相关软件来进行梳理与整合个性化用户所提供的数据，其梳理数据原则与个体的兴趣、爱好、思想或者专业、学科等不同出发点进行，通过云计算服务商的软件管理，使得用户的大量信息得到整合，以方便更多的不同需求的用户能够获得更多的相关自己需求的资源。

从信息存储的优势来看，与物理信息存储的表现相比，云计算的存储对数据的整合与应用更大程度上的突破了“物质上的空间概念”实现了强大的数据存储能力与网络互动式交换的能力，给信息资源的整合与信息数据资源的构建提供良好的平台。使大量的计算机与个体用户集中于特定的虚拟化数据中心池，使信息资源的整合程度更高，给信息资源的使用提供更加便捷的交互式使用，提高网络利用率的同时，减少了多个服务商与运营商的权限的管控所带来的繁杂的程序，为网络信息资源的应用与维护成本的减少提供基础。通过一个中心进行资源的传递与获得，对于资源有限的个体用户或者小型企事业单位来说，是一种经济、有效地方式。

诚然，信息技术的发展是双向的，给社会带来效应的同时，必然会带来一系列的消极影响。其中云计算也难以摆脱这一规律，当人们关注云计算技术的优势给企事业单位和个体用户所带来的便利的同时，云计算也给人们一系列风险的提醒。由于云计算的“共享”给多个网络租户带来利益的同时，也给租户埋下了风险的危机。这种社会性成因也是促进技术发展的重要推动力，正如哲学家黑格尔所说，从不完美的事物中见到完美则是进步，而从不完美的事物中寻求到转向完美的方法也是进步。云计算作为社会发展过程中，信息技术与社会因素交互的一个动态性因子，对云安全的认知与关注则成为社会需求的必然选择。

2云计算现行信息安全风险评估

对于现代社会，随着公共空间的扩大，人们的信息通信工具以及交通工具的发达，使得个体信息隐私权在急剧的缩减，以至于部分个体整体性暴露在公共视野下。云计算的出现则更加加速了这种风险的存在感，通过云计算个性化服务可以给不同的终端用户带来一系列的实用性个体化服务。然而，这一信息服务提供以个人的需求进行供给，其用户的身份认证难以做到完全确定其安全性，问题则表现为更加突出。个体用户通过对云计算虚拟系统进行需求式要求，以爱好、专业类别、兴趣等方向进行相应资源的获得，服务商则根据个体用户的具体要求进行一系列资源的调动与供给。这种交互式应用则体现了服务商与用户二者都可能会出于故意或者过失使得部分关于个人信息的相关资料出现流失，使得个人隐私受到非法的侵犯。

同时，对于企业来说，大量的商业信息存在于“云计算”终端，失去了绝对性占有的能力，可能对部分资源与商业机密相关的信息置于可控范围之外。对监控与管理实施远程操控有一定的时间空当，容易给其他不良用户以获取的空间，一旦出现恶意的破坏行为或者程序相关的问题，企业本身则无法进行直接的管理与干预。可以说增加了数据管控的难度，从数据隔离、数据存储分析与数据恢复等方面，云计算突破了原有的进出口式的防火墙的管理方式，增加了数据管理与保护难度。

从技术本身上来讲，云计算的出现并没有脱离原有的IT界的基本原理，仅仅是一次整合与升华，使原本单一的技术分支，进行统一网络服务式的处理，使客户端进行集中的信息处理。然而，从技术风险的角度上来说，所有的安全问题也有集约化的表现存在于这一技术体系中，对于云计算本身来说，其技术的要求则需要一定的规范的提出，才能使云计算系统日益应用范围扩大今天，进行一定风险能力的自我提升。因此，技术标准与安全信息风险评估显得异常重要。

3云计算信息安全防范标准构建与法规制定思考

正如上文所提到的云计算信息安全风险影响着云计算的实施，同时，云计算的信息安全风险也使得社会所关注。因此，云计算的安全问题并非仅仅是技术性的问题，同时，也是社会性问题，与社会习惯、社会思维与大众的心理有着直接的关系。因此，构建云计算背景下的安全防范体系与法律法规的制定是极为必要的。

从社会发展的层面上来说，一个良好的社会规范制度与一个良好的法规的出台，可以为相关利益关系进行合理配置，对意外事件的发生具有良好的扼制性作用。对云计算背景下的云安全的技术完善有着多种层面，但协调各种安全问题的解决原则是需要进行网络立法层面的出现，合理的应用云计算相关的知识，对涉及云计算问题的云安全进行更为深入的掌握，才能进行云计算安全风险的评估与法规的构建。

1）进行客户权利保障的立法。对客户使用云计算系统所应该承担的社会责任进行详细叙述，使云用户具备知情权，了解与掌握客户中所享受的相关权利，如隐私权、选择权、控诉权等，在进行云系统使用的过程中，获得与抽取或者交换处于可控范围内，同时，服务商与用户进行相应的协议，双方对权利的维护与支持进行相互合作。云服务商对用户数据具备控制权，但也要对客户的权利有着不可或缺的保护权利，如果客户权利出现相关问题，服务商则有着重要的关系。一旦出现服务商恶意对终端用户的权利给予侵害，则要承担一定的法律处罚，并且，要给用户以合理的解释。

2）进行相关云计算安全防范犯罪的立法。从国内云计算的相关立法上来看，目前尚处于空白期。这一网络的新型事物在原有基础上的法律体系内显得不相适应。因此，云计算相关的立法应单一提出，并且对网络立法提出更高的要求。由于云计算的虚拟化特征与无地域化的特征，给网络立法的规范与要求提出更高的要求。传统的区域性管豁存在感消失，司法机关的区域性存在，二者必然出现冲突，因此，从云计算的实际情况出发，对于网络方式的犯罪也应进行相应的调整，对超越空间的传统意义上的区域性控制进行摆脱，实现区域与犯罪结果相互关联，在云计算空间的归属上制定新的标准。同时，进行电子档案的建立，对个体用户所实施的具体犯罪行为进行跟踪记录，使个体用户的非正常使用受到一定时期的审查，利用电子证据的方式对不良风险行为进行判断，对相关电子相关的纠纷进行裁决。当然，电子证据的获得相对物理上证据有一定的难度，给犯罪行为的认定与归档带有一系列的难度，但是，可以推测的是电子证据在未来云计算信息安全处理的过程中，必然成为重要砝码性工具，对公司与个体用户的行为能够实现监管。

3）强化云服务监管的意识。监管与法规是双向保障的两个分支，对于云计算来说，其用户来自不同的类型与层次，其行业组织显得更为关键。从用户到服务商，都需要一系列的监管体系的存在。使终端用户与服务商在监管体系下，进一步实现其权利与价值的发挥，对于监管行为，现行国际上通用第三方管理，尤其是在现阶段，云计算尚处于发展阶段。部分功用与用户的使用尚不明了，甚至部分服务商对承担的责任与义务也存在着一系列的未知。云计算服务商更加需要第三方的监管来实现服务协议中所应体现的价值，同时，第三方的监管也给数据的保护与保持提供一系列的合法的法律依靠。对于云计算这种公共空间的产物，单一靠供需双方的协议维系是不能够满足需求的，因此，行业组织或行业相关的体系对尚处于起步阶段的云服务体系进行监管显得更为重要，尤其是使云计算体系下的服务商对自我行为的规范有着更为重要的意义。

4结束语

云计算时代的到来，给依赖于信息发展现代社会带来一系列的社会福利，同时，云安全信息的风险也给社会带来一系列的压力与困难。从客观的角度上来看，这一技术性的问题，同时，也是社会性问题。从技术方面入手，也要从制度层上来进行规范，才能实现云计算背景下的云信息安全风险的规避与应对，更好发挥云计算优势，使云计算体系更好地更健康为社会发展而服务。从终端用户的实际需要而进行更好的个体化服务，实现计算机即网络的虚拟化交互式使用。

注：本文受内蒙古自治区高等学校科学技术研究一般项目“云背景下的数据库安全性研究”（NJZY14308）资助。

参考文献

[1]史志才，夏永祥.高速网络环境下的入侵检测技术研究综述[J].计算机应用研究，2010（05）.

[2]陈丹伟，黄秀丽，任勋益.云计算及安全分析[J].计算机技术与发展，2010（02）.

[3]陈全，邓倩妮.云计算及其关键技术[J].计算机应用，2009（09）.